Edilexissä on huoltokatko torstaina 25.4.2024. Palvelussa on tilapäisiä häiriöitä kello 7.00-8.30 välisenä aikana. Pahoittelemme huoltokatkosta aiheutuvaa haittaa.

Edilex-palvelut

Kirjaudu sisään

Siirry mietintöön

Puutteelliset hakuehdot

LiVM 8/2002 vp - HE 57/2002 vp
Hallituksen esitys laiksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain muuttamisesta

JOHDANTO

Vireilletulo

Eduskunta on 23 päivänä huhtikuuta 2002 lähettänyt liikennevaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen laiksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain muuttamisesta ( HE 57/2002 vp ).

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

  • ylitarkastaja Tia Laine-Ylijoki , liikenne- ja viestintäministeriö
  • tietosuojavaltuutettu Reijo Aarnio , Tietosuojavaltuutetun toimisto, OM
  • erikoistutkija Arttu Juutti , Kilpailuvirasto
  • lakimies Miina Ojajärvi , Kuluttajavirasto
  • toimistopäällikkö Antti Turkama , rikoskomisario Pasi Paananen , keskusrikospoliisi
  • ylitarkastaja Harri Sarvanto , suojelupoliisi
  • yhteyspäällikkö Kari Wirman , Elisa Communications
  • tutkija Petteri Järvinen , Jippii Group Oyj
  • kehitysjohtaja Martin Andersson , Sonera Oyj
  • tekninen johtaja Tapio Halkola , Finnet-liitto ry

Lisäksi kirjallisen lausunnon on antanut

  • Keskuskauppakamari.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettua lakia.

Viestintävirastolle annettaisiin toimivaltuudet toimia jatkossa kansallisena tietoturvaan ja tietoturvaloukkauksiin keskittyvänä vastuuviranomaisena. Uusina tehtävinä virastolle kuuluisivat tiedonkeruu tietoturvaloukkauksista, niiden ratkaiseminen ja torjuminen sekä tietoturvallisuusasioista tiedottaminen. Lisäksi lain tasolla säädettäisiin aiemmin määräyksen tasolla olleesta teleyrityksen velvollisuudesta ilmoittaa Viestintävirastolle televerkkojen ja -palveluiden vika- ja häiriötapauksista. Ilmoitusvelvollisuus laajenisi myös tietoturvallisuusloukkauksiin ja niiden uhkiin.

Laki on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun se on hyväksytty ja vahvistettu.

VALIOKUNNAN KANNANOTOT

Yleisperustelut

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotuksen hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.

Valiokunta pitää hyvänä, että esityksellä luotaisiin Suomeen vastuullinen viranomaistaho, joka vastaisi tietoturvallisuuteen liittyvästä tilanneseurannasta, avustaisi loukkauksen kohteeksi joutuneita yleisten televerkkojen kautta tietojärjestelmiin tai televiestintään kohdistuvissa tietoturvan loukkaustapauksissa ja huolehtisi tietoturvallisuusasioiden asianmukaisesta tiedottamisesta. Tarjottavan palvelun asiakkaina voivat olla yksittäiset kansalaiset, yritykset ja hallintokin. Viestintävirasto on tehtävää varten organisoinut uuden, nk. CERT-toiminnon (computer emergency response team -toiminnon) tietoturvallisuusyksikköönsä, jossa se toimii nimellä CERT-FI.

Viestintäviraston tehtävien hoitamisessa syntyneiden tietojen säilyttäminen on järjestetty siten kuin viranomaisten tietojen säilyttämisestä arkistolaissa (831/1994) ja sen nojalla on säädetty ja määrätty. Näin ollen, mikäli kysymyksessä ei ole arkistolaitoksen pysyvästi säilytettäväksi määräämä asiakirja, määrittelee Viestintävirasto arkistonmuodostajana tehtäviensä hoidon tuloksena syntyvien asiakirjojen säilytysajat ottaen huomioon, mitä niistä on erikseen säädetty ja määrätty. Tällä hetkellä Viestintäviraston arkiston muodostamissuunnitelman mukaan CERT-ilmoituksia säilytetään 20 vuotta.

Viestintävirastosta saatujen tietojen mukaan CERT-toiminnan yhteydessä kerättävät tiedot eivät merkittävästi poikkea viraston muista asiakirjoista, joihin myös sisältyy henkilötietoja ja viestinnän tunnistamistietoja. Tietosuojavaltuutettu on valiokunnalle antamassaan lausunnossa painottanut perustuslakivaliokunnan kantaa (mm. PeVL 14/1998 vp), jonka mukaan henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, tietojen sallitut käyttötarkoitukset, tietojen luotettavuus ja tietojen säilytysaika. Esityksessä erityisiä sääntelykohteita henkilötietojen käsittelyn kannalta ovat ainakin teleyritysten tietojen ilmoittamiseen (6 §), tietojen luovutukseen viranomaisille (18 §) ja tiedoksisaantioikeuteen ja tietojen luovuttamiseen (24 §) liittyvät säädökset. Esittämäänsä sekä esitykseen liittyviin viranomaisten toiminnan julkisuudesta annetun lain (621/1999) salassapitosäännöksiä koskeviin perusteluihin viitaten tietosuojavaltuutettu on katsonut, että yleisesti ottaen ehdotetulla sääntelyllä päästään CERT-toiminnan osalta riittävään tarkkuuteen.

Valiokunta toteaa, että tietoturvaloukkauksia koskevat ilmoitukset eivät sinänsä muodosta henkilörekisteriä, vaan henkilöllisyyttä koskevat tiedot ovat useimmiten vain osa ilmoituksen sisällöstä. Valiokunta painottaa, että mikäli ilmoitusten pohjalta on tarpeen laatia henkilöstörekistereitä, on tarkoin harkittava tarvetta säätää erikseen näissä säilytettävien tietojen säilytysajasta.

Valiokunta korostaa, että tietoyhteiskunnan kehittyminen edellyttää riittävää tietoturvallisuutta. Muun muassa sähköisen kaupankäynnin edistymisen suurimpia esteitä on kuluttajien luottamuksenpuute kaupankäynnin turvallisuuteen. Tämän vuoksi on tärkeätä säätää teleyrityksille lakisääteinen velvollisuus ilmoittaa Viestintävirastolle merkittävistä tietoturvaloukkauksista ja niiden uhkista sekä toimenpiteistä, joilla tapausten toistuminen pyritään estämään. Tämän vuoksi esityksellä nostetaan lain tasolle aiemmin Viestintäviraston määräykseen perustunut raportointivelvollisuus merkittävistä vika- ja häiriötilanteista.

Yksityiskohtaiset perustelut

6 §.

Asiantuntijakuulemisessa on kritisoitu ilmoitusvelvollisuutta merkittävistä tietoturvauhista ja todettu, että uhkatilanteet eivät aina ole tiedossa tai ne voivat olla epäselviä. Valiokunta korostaa, että teleyrityksellä ei voi olla ilmoitusvelvollisuutta sellaisesta uhasta, josta se ei voi tietää. Tällaisesta uhasta ilmoittamatta jättäminen ei myöskään siten voi olla rangaistava teko. Toisaalta on selvää, että teleyrityksen tiedossa olevasta uhasta ilmoittamatta jättäminen saattaa aiheuttaa vahinkoa käyttäjille. Tästä syystä ei ole perusteltua muuttaa hallituksen esityksen rangaistussäännöstä asiantuntijakuulemisessa esitetyn mukaisesti siten, että tällaisesta uhasta ilmoittamatta jättäminen ei olisi rangaistavaa. Valiokunta pitää kuitenkin tarkoituksenmukaisena rajata 6 §:ssä säädettyä ilmoitusvelvollisuutta koskemaan teleyrityksen tiedossa olevia tietoturvauhkia ja esittää sen vuoksi vastaavaa täsmennystä pykälän muotoiluun.

26 a §.

Eduskunnan vastauksella EV 66/2002 vp telemarkkinalain nimike on muutettu viestintämarkkinalaiksi. Valiokunta on tehnyt vastaavan muutoksen pykälän muotoiluun. Valvontamaksupykälän ulkopuolelle on esityksessä jäänyt toimiluvanvarainen teletoiminta. Valvontamaksu on tarkoituksenmukaista periä tasapuolisuuden vuoksi myös viestintämarkkinalain mukaisen toimiluvan haltijoilta, koska kysymyksessä on samankaltainen teletoiminta, josta on kysymys teletoimintailmoituksen alaisessa toiminnassa. Viestintämarkkinalain mukaan toimilupaa edellyttävästä teletoiminnasta ei ole tarpeen tehdä teletoimintailmoitusta, ja siksi on syytä säätää maksuvelvollisiksi myös toimiluvan saaneet yritykset.

Valiokunta esittää muutettavaksi valvontamaksupykälää 26 a § vastaavasti.

Päätösehdotus

Edellä esitetyn perusteella liikennevaliokunta kunnioittavasti ehdottaa,

että lakiehdotus hyväksytään muutoin hallituksen esityksen mukaisena paitsi 6 § ja 26 a § muutettuina seuraavasti:

6 §

Teleyrityksen velvollisuudet

(1 ja 2 mom. kuten HE)

Teleyrityksen on ilmoitettava Viestintävirastolle televerkkojen ja -palvelujen merkittävistä tietoturvaloukkauksista ja sellaisista televerkkoihin ja -palveluihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen, sekä merkittävistä vika- ja häiriötilanteista televerkoissa ja -palveluissa samoin kuin toimenpiteistä, joilla tällaisten tietoturvaloukkausten ja niiden uhkien sekä vika- ja häiriötilanteiden toistuminen pyritään estämään. Viestintävirasto antaa tarkemmat määräykset televerkkojen ja -palvelujen tietoturvaloukkauksista sekä vika- ja häiriötilanteista Viestintävirastolle tehtävistä ilmoituksista.

(4 ja 5 mom. kuten HE)

26 a §

Valvontamaksu

Edellä 23 §:n 2 momentin 3 kohdan mukaisista Viestintäviraston valvonta- ja muista suoritteista peritään viestintämarkkinalain 5 §:n nojalla teletoimintailmoituksen tehneiltä tai toimiluvan saaneilta yrityksiltä niiden liikevaihdon perusteella määräytyvä valvontamaksu. Valvontamaksun suuruudesta säädetään liikenne- ja viestintäministeriön asetuksella siten, että maksut kattavat viranomaistoiminnasta aiheutuneet kustannukset. Muutoin maksuja koskee, mitä valtion maksuperustelaissa (150/1992) säädetään.

Helsingissä 30 päivänä toukokuuta 2002

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

pj. Erkki Pulliainen /vihr
vpj. Annika Lapintie /vas
jäs. Klaus Bremer /r
Jyri Häkämies /kok
Erkki Kanerva /sd
Saara Karhu /sd
Risto Kuisma /sd
Eero Lämsä /kesk
Raimo Mähönen /sd
Markku Rossi /kesk
Ismo Seivästö /kd
Timo Seppälä /kok
vjäs. Kari Myllyniemi /kesk

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Mika Boedeker

Poista Peruuta

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Tallenna

Lisää uusi kansio.

Lisää

Lisää uusi väliotsikko.

Lisää